ES3021011T3 - Method for operating a network, and computer program product - Google Patents

Method for operating a network, and computer program product Download PDF

Info

Publication number
ES3021011T3
ES3021011T3 ES21786841T ES21786841T ES3021011T3 ES 3021011 T3 ES3021011 T3 ES 3021011T3 ES 21786841 T ES21786841 T ES 21786841T ES 21786841 T ES21786841 T ES 21786841T ES 3021011 T3 ES3021011 T3 ES 3021011T3
Authority
ES
Spain
Prior art keywords
network
endpoint
score
administrator
network resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES21786841T
Other languages
Spanish (es)
Inventor
Florian Holst
Marcel Walter
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Application granted granted Critical
Publication of ES3021011T3 publication Critical patent/ES3021011T3/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

El método para operar una red con al menos un punto final que posee al menos un recurso de red, o para administrar al menos un recurso de red, comprende los siguientes pasos: - definir un conjunto de reglas con al menos una regla para dicho punto final; - supervisar el cumplimiento del punto final con dicho conjunto de reglas; - asignar una puntuación según dicho cumplimiento; y - determinar al menos una medida según dicha puntuación. El programa informático está diseñado para almacenar un conjunto de reglas con al menos una regla para dicho punto final, recibir datos de supervisión sobre el cumplimiento del punto final con dicho conjunto de reglas y asignar una puntuación según dicho cumplimiento. (Traducción automática con Google Translate, sin valor legal)The method for operating a network with at least one endpoint that possesses at least one network resource, or for managing at least one network resource, comprises the following steps: - defining a set of rules with at least one rule for said endpoint; - monitoring the endpoint's compliance with said set of rules; - assigning a score based on said compliance; and - determining at least one metric based on said score. The software program is designed to store a set of rules with at least one rule for said endpoint, receive monitoring data on the endpoint's compliance with said set of rules, and assign a score based on said compliance.

Description

DESCRIPCIÓNDESCRIPTION

Procedimiento para la operación de una red y producto de programación informática Procedure for the operation of a network and computer programming product

La invención se refiere a un procedimiento para la operación de una red con al menos un punto final con al menos un recurso de red o para administrar al menos un recurso de red, así como a un producto de programación informática. The invention relates to a method for operating a network with at least one endpoint with at least one network resource or for managing at least one network resource, as well as to a computer programming product.

Las redes de empresas y plantas de producción están expuestas regularmente a numerosos ataques de terceros. Por lo tanto, garantizar la seguridad informática es de gran importancia. En el estado de la técnica se conocen los documentos US 8874685 B1, US 9762582 B1, US 2007/143851 A1, US 2016/373478 A1 y US 2014/046645 A1. Company and production plant networks are regularly exposed to numerous third-party attacks. Therefore, ensuring IT security is of great importance. Documents US 8874685 B1, US 9762582 B1, US 2007/143851 A1, US 2016/373478 A1, and US 2014/046645 A1 are known from the prior art.

Por lo tanto, el objetivo de la invención es crear un procedimiento para operar una red que pueda ejecutarse de forma segura y que tenga una opción de automatización. Therefore, the objective of the invention is to create a method for operating a network that can be executed safely and that has an automation option.

El procedimiento de la invención es un procedimiento según la reivindicación 1 para operar una red con al menos un punto final con al menos un recurso de red o administrar al menos un recurso de red. El procedimiento de la invención comprende los siguientes pasos: The method of the invention is a method according to claim 1 for operating a network with at least one endpoint with at least one network resource or managing at least one network resource. The method of the invention comprises the following steps:

- Definir un conjunto de reglas con al menos una regla para el al menos un punto final, - Define a rule set with at least one rule for at least one endpoint,

- Observar la conformidad del al menos un punto final con el conjunto de reglas, - Observe the conformity of at least one endpoint with the set of rules,

- Asignar una puntuación en función de la conformidad y - Assign a score based on compliance and

- Determinar al menos una medida en función de la puntuación. - Determine at least one measure based on the score.

Idealmente, el procedimiento de la invención es un procedimiento implementado por ordenador. Ideally, the method of the invention is a computer-implemented method.

Mediante el procedimiento de la invención, la red puede ser operada de manera ventajosa de acuerdo con los requisitos de seguridad informática. Convenientemente, el conjunto de reglas incluye reglas de seguridad informática, de modo que el procedimiento de la invención permite asegurar fácilmente las redes, por ejemplo, en empresas o plantas de fabricación. Using the method of the invention, the network can be advantageously operated in accordance with IT security requirements. Conveniently, the rule set includes IT security rules, so that the method of the invention makes it possible to easily secure networks, for example, in companies or manufacturing plants.

Preferiblemente, en el procedimiento de la invención, la al menos una medida comprende una limitación de privilegios del punto final en la red en función de la puntuación. De este modo, la administración de los recursos de la red puede limitarse a un subconjunto de privilegios menos críticos para la seguridad. Preferably, in the method of the invention, the at least one measure comprises limiting the endpoint's privileges on the network based on the score. In this way, the administration of network resources can be limited to a subset of privileges that are less critical to security.

En los procedimientos según la invención, la al menos una medida comprende preferiblemente la interrupción del funcionamiento de la red. En el caso extremo de que no sea posible continuar con el funcionamiento de la red, se puede considerar la interrupción del funcionamiento de la red. In the methods according to the invention, the at least one measure preferably comprises interrupting the operation of the network. In the extreme case where continued operation of the network is no longer possible, interruption of network operation may be considered.

En el procedimiento según la invención, el al menos un punto final se forma preferiblemente con al menos un recurso de red y/o al menos un hardware administrador, preferiblemente un ordenador cliente y/o un hardware de autenticación, y/o al menos una interfaz de hardware, preferiblemente una cuenta de usuario. Ventajosamente, el ordenador cliente o el hardware de autenticación, como una tarjeta de identificación de la empresa legible electrónicamente, puede estar vinculado a una cuenta de administrador, de modo que solo un administrador pueda conectarse al punto final. In the method according to the invention, the at least one endpoint is preferably formed with at least one network resource and/or at least one administrator hardware, preferably a client computer and/or authentication hardware, and/or at least one hardware interface, preferably a user account. Advantageously, the client computer or authentication hardware, such as an electronically readable company ID card, can be linked to an administrator account, so that only an administrator can log on to the endpoint.

En un desarrollo avanzado ventajoso del procedimiento de la invención, el recurso de red, que es al menos uno, está formado por un hardware, en particular un servidor, y/o por un software, en particular un sistema operativo y/o un programa de aplicación, para su aplicación por medio de la red. In an advantageous advanced development of the method of the invention, the network resource, which is at least one, is formed by hardware, in particular a server, and/or by software, in particular an operating system and/or an application program, for its application via the network.

En un desarrollo avanzado ventajoso del procedimiento de la invención, el punto final forma una interfaz de administrador. In an advantageous advanced development of the method of the invention, the endpoint forms an administrator interface.

En el procedimiento según la invención, el conjunto de reglas establece preferiblemente la regularidad de una actualización del software y/o de un software en el hardware. In the method according to the invention, the set of rules preferably determines the regularity of an update of the software and/or of software on the hardware.

En un desarrollo avanzado ventajoso del procedimiento según la invención, la medida comprende una limitación de privilegios administrativos y/o una modificación de la conexión del punto final a la red, por ejemplo, una desconexión del punto final de la red, y/o una formación para un administrador que se conecte al punto final. In an advantageous further development of the method according to the invention, the measure comprises a limitation of administrative privileges and/or a modification of the connection of the endpoint to the network, for example, a disconnection of the endpoint from the network, and/or training for an administrator connecting to the endpoint.

En el último caso mencionado del desarrollo avanzado mencionado, resulta conveniente asignar la puntuación en al menos dos categorías y adaptar la formación, preferiblemente mediante módulos, en función de la puntuación en las categorías, preferiblemente en función de la ocupación de las categorías y/o del peso absoluto y/o relativo de las categorías. In the last mentioned case of advanced development, it is advisable to assign the score in at least two categories and adapt the training, preferably through modules, based on the score in the categories, preferably based on the occupancy of the categories and/or the absolute and/or relative weight of the categories.

De manera adecuada, en un desarrollo avanzado de la invención, un administrador no será admitido en la red hasta que haya recibido la formación. Suitably, in an advanced development of the invention, an administrator will not be admitted to the network until he or she has received training.

Preferiblemente, en el procedimiento de la invención, la puntuación se asigna o se mantiene en función de una formación, preferiblemente repetida, y/o de una verificación, preferiblemente repetida. Preferably, in the method of the invention, the score is assigned or maintained based on training, preferably repeated, and/or verification, preferably repeated.

El producto de programa informático según la invención de la reivindicación 11 está diseñado para su aplicación en el procedimiento según la invención tal como se ha descrito anteriormente. El producto de programa informático según la invención está diseñado para almacenar un conjunto de reglas con al menos una regla para el al menos un punto final, para recibir datos de observación sobre la conformidad del al menos un punto final con el conjunto de reglas, así como para asignar una puntuación en función de la conformidad. The inventive computer program product of claim 11 is designed for application in the method according to the invention as described above. The inventive computer program product is designed to store a rule set with at least one rule for the at least one endpoint, to receive observation data on the compliance of the at least one endpoint with the rule set, and to assign a score based on the compliance.

A continuación, la invención se explica con más detalle mediante un ejemplo de realización representado en el dibujo. La única figura de dibujo 1 muestra una red empresarial con recursos de red que se administran mediante la red empresarial, esquemáticamente en sección transversal. The invention will now be explained in more detail by means of an exemplary embodiment shown in the drawing. The single drawing figure 1 shows a company network with network resources managed via the company network, schematically in cross-section.

La red 10 mostrada en la Fig. 1 es una red empresarial y tiene ordenadores conectados entre sí. Algunos de los ordenadores de la red 10 forman servidores 30 distribuidos para recursos de red. Otros de los ordenadores de la red 10 están configurados como ordenadores cliente 50 para la administración de los servidores 30. Tanto los servidores 30 como los ordenadores cliente 50 constituyen puntos finales de la red 10, que introducen contenidos o servicios en la red 10 como servidores 30 o proporcionan una interfaz a un administrador para tareas administrativas como ordenadores cliente 50. En el ejemplo de ejecución representado, la red 10 está diseñada como una red en la nube. En esta red en la nube, los servidores 30 no existen como ordenadores separados, aislados entre sí en cuanto a su hardware respectivo, sino que los servidores 30 existen como servidores lógicos 30 en el sentido de una base de datos distribuida almacenada en una multitud de ordenadores de la red 10. En otros ejemplos de ejecución no representados explícitamente, la red 10 también puede estar configurada como cualquier otra red convencional, por ejemplo, una red jerárquica 10, en la que los servidores 30 están presentes como servidores de hardware separados y físicamente independientes. The network 10 shown in Fig. 1 is an enterprise network and has computers connected to each other. Some of the computers in the network 10 form distributed servers 30 for network resources. Other computers in the network 10 are configured as client computers 50 for administration of the servers 30. Both the servers 30 and the client computers 50 constitute endpoints of the network 10, which introduce content or services to the network 10 as servers 30 or provide an interface to an administrator for administrative tasks as client computers 50. In the illustrated embodiment, the network 10 is designed as a cloud network. In this cloud network, the servers 30 do not exist as separate computers, isolated from each other with respect to their respective hardware, but the servers 30 exist as logical servers 30 in the sense of a distributed database stored on a multitude of computers in the network 10. In other embodiments not explicitly represented, the network 10 can also be configured like any other conventional network, for example a hierarchical network 10, in which the servers 30 are present as separate and physically independent hardware servers.

Los servidores 30 están configurados para ejecutar un software de coordinación de proyectos por medio de la red 10. Mediante el software de coordinación de proyectos los usuarios pueden introducir hitos del proyecto en el sistema y coordinarlos entre sí en cuanto a su consecución, de modo que un usuario obtenga una visión general rápida del estado de un proyecto, así como del cumplimiento de sus obligaciones en cuanto a los hitos del proyecto. The servers 30 are configured to run project coordination software via the network 10. Using the project coordination software, users can input project milestones into the system and coordinate them with each other regarding their achievement, so that a user obtains a quick overview of the status of a project as well as the fulfillment of their obligations regarding the project milestones.

La red contiene además un servidor central 60 de gestión de derechos que concede o deniega derechos de acceso a los recursos de la red. The network also contains a central rights management server 60 that grants or denies access rights to network resources.

La red 10 también tiene una unidad de observación 70 que vigila el estado de seguridad de la red 10. La unidad de observación 70 comprueba periódicamente o de forma continua el estado de actualización de los sistemas operativos de los servidores 30, por ejemplo, el estado de actualización de los sistemas Linux de los servidores 30. En esto, la unidad de observación 70 compara la actualización del sistema operativo respectivo con una actualización objetivo del sistema operativo, que corresponde, por ejemplo, a una recomendación de un mantenedor de repositorios de una distribución del sistema Linux. Si, por ejemplo, no se han armonizado los parches actuales del sistema Linux, se calcula una puntuación que se asigna al servidor 30 respectivo en función del período durante el cual no se ha actualizado el sistema Linux a pesar de que hubiera sido posible hacerlo, así como en función del número y la criticidad de los parches, que se deriva de una clasificación realizada por los desarrolladores o por los mantenedores del repositorio. Por ejemplo, la puntuación contiene una suma de una magnitud proporcional al período de tiempo mencionado anteriormente (por ejemplo, una indicación del período de tiempo en horas con un factor de proporcionalidad) y una magnitud que suma una medida (por ejemplo, un valor de "5" para "altamente crítico", un valor de "3" para "crítico" y un valor de "1" para "recomendado") para la criticidad de seguridad de cada parche que haya faltado a pesar de estar disponible. De esta manera, a cada servidor 30 se le asigna una puntuación para la seguridad del sistema operativo, que es tanto más alta cuanto más o más graves sean las vulnerabilidades de seguridad del respectivo servidor 30. The network 10 also has an observation unit 70 that monitors the security status of the network 10. The observation unit 70 periodically or continuously checks the update status of the operating systems of the servers 30, for example, the update status of the Linux systems of the servers 30. In doing so, the observation unit 70 compares the update of the respective operating system with a target update of the operating system, which corresponds, for example, to a recommendation from a repository maintainer of a Linux system distribution. If, for example, the current patches of the Linux system have not been harmonized, a score is calculated and assigned to the respective server 30 based on the period during which the Linux system has not been updated even though it would have been possible to do so, as well as on the number and criticality of the patches, which is derived from a classification made by the developers or the repository maintainers. For example, the score contains a sum of a magnitude proportional to the aforementioned time period (e.g., an indication of the time period in hours with a proportionality factor) and a magnitude that sums a measure (e.g., a value of "5" for "highly critical," a value of "3" for "critical," and a value of "1" for "recommended") for the security criticality of each patch that is missing despite being available. In this way, each server 30 is assigned a score for the security of the operating system, which is higher the more or more serious the security vulnerabilities of the respective server 30 are.

También se asigna una puntuación similar al software de coordinación de proyectos en función de los parches o actualizaciones disponibles para este. A similar score is also assigned to project coordination software based on any patches or updates available for it.

La suma de la puntuación del software de coordinación de proyectos y de la puntuación del sistema operativo constituye una puntuación total para el servidor 30, que se asigna al servidor 30 como certificado. Si la puntuación total supera un primer umbral crítico, esta puntuación total o la información sobre la superación de este primer umbral se transmite al servidor de gestión de derechos 60 que, al superar el primer umbral, inicia una medida para aumentar la seguridad de la red 10. La medida puede consistir, por ejemplo, en un funcionamiento restringido del servidor 30 en modo de emergencia o, en caso de que se supere significativamente el valor umbral, por ejemplo, en un factor del 50 %, en la desconexión del servidor 30 o de la red 10. The sum of the score of the project coordination software and the score of the operating system constitutes a total score for the server 30, which is assigned to the server 30 as a certificate. If the total score exceeds a first critical threshold, this total score or the information about exceeding this first threshold is transmitted to the rights management server 60, which, upon exceeding the first threshold, initiates a measure to increase the security of the network 10. The measure may consist, for example, of restricted operation of the server 30 in emergency mode or, if the threshold value is significantly exceeded, for example, by a factor of 50%, of disconnecting the server 30 or the network 10.

Además, esta puntuación total no se asigna únicamente al servidor 30. Más bien, la puntuación total también se asigna al administrador respectivo (no se muestra explícitamente en el dibujo), que es responsable de actualizar el servidor 30 y el software de coordinación del proyecto. Esta asignación se realiza o bien a un ordenador cliente 50 del administrador respectivo o, en caso de un posible cambio de los ordenadores cliente 50 del administrador respectivo a una cuenta de administrador, al acceso privilegiado del administrador a la red 10. Furthermore, this total score is not assigned solely to server 30. Rather, the total score is also assigned to the respective administrator (not explicitly shown in the drawing), who is responsible for updating server 30 and the project coordination software. This assignment is made either to a client computer 50 of the respective administrator or, in the event of a possible change of the client computers 50 of the respective administrator to an administrator account, to the administrator's privileged access to network 10.

La asignación de una puntuación total al servidor 30, así como la atribución de un valor de puntuación a la cuenta de administrador, se realiza en el ejemplo de ejecución mostrado mediante una cuenta de puntuación asignada de forma unívoca al servidor 30 y a la cuenta de administrador. Las cuentas de puntuación del servidor 30 y de los administradores se mantienen en el servidor de gestión de derechos 60. The assignment of a total score to server 30, as well as the assignment of a score value to the administrator account, is carried out in the example shown by means of a score account uniquely assigned to server 30 and the administrator account. The score accounts for server 30 and the administrators are maintained on the rights management server 60.

En el ejemplo de ejecución mostrado, la asignación se realiza a una cuenta de administrador que, en el ejemplo de ejecución mostrado, está asignada de forma unívoca a un administrador concreto. A la cuenta de administrador solo se le atribuyen los valores de puntuación que corresponden al software del que es responsable el administrador de la cuenta de administrador, es decir, aquellos para los que el administrador de la cuenta de administrador asume realmente tareas de actualización. In the example run shown, the assignment is made to an administrator account, which, in the example run shown, is uniquely assigned to a specific administrator. The administrator account is only assigned score values that correspond to the software for which the administrator of the administrator account is responsible, i.e., those for which the administrator of the administrator account actually performs update tasks.

La gestión de derechos se describe en la figura 2: Rights management is described in Figure 2:

Para poder ser admitido como administrador de un servidor 30 de la red 10, un administrador debe completar una formación en ciberseguridad (CYTR) que informa sobre un conjunto de reglas administrativas de seguridad vinculantes para la red 10. Las normas relevantes para la seguridad comprenden, entre otras cosas, los requisitos para la instalación oportuna y tan completa como posible de parches. Si el administrador completa la formación en ciberseguridad CYTR, se le otorgará un certificado de administrador ISDL. Sobre la base del certificado de administrador ISDL, se añade a la cuenta de administrador una firma criptográfica, como firma de administrador, que lo autoriza como administrador del servidor 30. In order to be admitted as an administrator of a server 30 of network 10, an administrator must complete a cybersecurity training (CYTR) that provides information on a set of binding security administrative rules for network 10. The security-relevant rules include, among other things, requirements for the timely and as complete as possible installation of patches. If the administrator completes the CYTR cybersecurity training, they will be issued an ISDL administrator certificate. Based on the ISDL administrator certificate, a cryptographic signature is added to the administrator account as an administrator signature, authorizing them as administrator of server 30.

Al mismo tiempo, el propio servidor 30 debe cumplir también los requisitos de seguridad, que se resumen en una configuración nominal del sistema SYSOPC, lo que significa que todo el software instalado en el servidor 30 debe estar actualizado, en este caso el sistema operativo y el software de coordinación de proyectos. Tras comprobar que la configuración del servidor 30 cumple con la configuración nominal del sistema SYSOPC, se le concede al servidor 30 una autorización de servidor ISLP para la red 10. Debido a la autorización del servidor ISLP para la red 10, al servidor 30 se le otorga otra firma criptográfica en forma de firma de servidor, que identifica al servidor 30 como al menos inicialmente suficiente para la configuración nominal del sistema SYSOPC. Mediante la firma del servidor, el servidor 30 es autorizado a integrarse en la red 10. At the same time, server 30 itself must also meet security requirements, which are summarized in a nominal SYSOPC system configuration. This means that all software installed on server 30 must be up-to-date, in this case the operating system and the project coordination software. After checking that the configuration of server 30 complies with the nominal SYSOPC system configuration, server 30 is granted ISLP server authorization for network 10. Due to the ISLP server authorization for network 10, server 30 is granted another cryptographic signature in the form of a server signature, which identifies server 30 as at least initially sufficient for the nominal SYSOPC system configuration. Using the server signature, server 30 is authorized to integrate into network 10.

En el ejemplo de ejecución mostrado, un administrador se registra en la red 10 para administrar un servidor 30 de la siguiente manera: In the example execution shown, an administrator logs into network 10 to manage a server 30 as follows:

En primer lugar, UACREQ se autentica como administrador ante la red 10 de la forma habitual. Para ello, utiliza su cuenta de administrador para enviar un identificador único a la red 10. El servidor de gestión de derechos 60 comprueba si el administrador dispone de un certificado de administrador mediante la firma de administrador asignada al identificador. Si es así, se determina una cuenta de administrador basándose en la firma del administrador y se identifica la cuenta de puntuación asignada a esta cuenta de administrador. Se comprueba si el valor de puntuación registrado en la cuenta de puntuación supera el primer umbral. Si el valor de puntuación está por debajo del primer umbral, el administrador continúa con el inicio de sesión en la red 10. Si el valor de la puntuación está por encima del primer valor umbral, el administrador es rechazado por la red 10. First, UACREQ authenticates itself as an administrator to network 10 in the usual manner. To do so, it uses its administrator account to send a unique identifier to network 10. The rights management server 60 checks whether the administrator has an administrator certificate using the administrator signature assigned to the identifier. If so, an administrator account is determined based on the administrator signature and the score account assigned to this administrator account is identified. A check is made to see whether the score value recorded in the score account exceeds the first threshold. If the score value is below the first threshold, the administrator continues logging into network 10. If the score value is above the first threshold, the administrator is rejected by network 10.

A continuación, el administrador selecciona un servidor 30 en el que se ejecuta el software de coordinación de proyectos y que él administra. El servidor 30 comprueba si el administrador ha sido registrado previamente en UREGSYS para administrar el servidor 30. Si no es así, el servidor 30 rechaza al administrador. Si el administrador está registrado para administrar el servidor 30, se continúa con el inicio de sesión del administrador. The administrator then selects a server 30 on which the project coordination software runs and which they manage. Server 30 checks whether the administrator has previously registered with UREGSYS to manage server 30. If not, server 30 rejects the administrator. If the administrator is registered to manage server 30, the administrator login continues.

Por último, el servidor de gestión de derechos 60 comprueba, basándose en la firma del servidor 30, si este cumple actualmente con la configuración nominal del sistema SYSOPC. Si es así, el administrador recibe permiso OPALL para administrar el servidor 30. Si, por el contrario, el servidor 30 no cumple actualmente la configuración nominal de sistema SYSOPC, se revoca el permiso de servidor ISLP. Finally, the rights management server 60 checks, based on the signature of server 30, whether it currently meets the nominal SYSOPC system configuration. If so, the administrator is granted OPALL permission to manage server 30. If, on the other hand, server 30 does not currently meet the nominal SYSOPC system configuration, the ISLP server permission is revoked.

En el ejemplo de ejecución mostrado, la autorización de servidor ISLP del servidor 30 y el certificado de administrador ISDL para administrar el servidor 30 no solo se validan para la autorización inicial de los administradores y el servidor 30 a la red 10. Más bien, el mantenimiento del certificado de administrador ISDL depende del valor de puntuación de la cuenta de puntuación de la cuenta de administrador perteneciente al administrador, y la autorización del servidor ISLP depende del valor de puntuación de la cuenta de puntuación del servidor 30. Así, la unidad de observación 70 comprueba periódica o continuamente el estado de actualización de los sistemas operativos de los servidores 30. Si el valor de puntuación de la cuenta de puntuación de la cuenta de administrador perteneciente al administrador supera el primer umbral, el servidor de gestión de derechos 60 excluye al administrador de la administración del servidor 30. Además, el servidor 30 también se desconecta de la red 10. En otros ejemplos de ejecución no mostrados explícitamente, el administrador no queda excluido de la administración posterior del servidor 30, sino que se envía un mensaje correspondiente a un responsable de seguridad de la red 10, que indica el correspondiente rebasamiento del primer valor umbral. Además, el servidor 30 no se desconecta de la red 10, sino que se envía un mensaje al responsable de seguridad de la red 10 para que pueda examinar la situación más detenidamente. In the exemplary embodiment shown, the ISLP server authorization of the server 30 and the ISDL administrator certificate for administering the server 30 are not only validated for the initial authorization of the administrators and the server 30 to the network 10. Rather, the maintenance of the ISDL administrator certificate depends on the score value of the score account of the administrator account belonging to the administrator, and the authorization of the ISLP server depends on the score value of the score account of the server 30. Thus, the monitoring unit 70 periodically or continuously checks the update status of the operating systems of the servers 30. If the score value of the score account of the administrator account belonging to the administrator exceeds the first threshold, the rights management server 60 excludes the administrator from administering the server 30. In addition, the server 30 is also disconnected from the network 10. In other exemplary embodiments not explicitly shown, the administrator is not excluded from further administration of the server 30, but a corresponding message is sent to a network security officer. 10, which indicates the corresponding breach of the first threshold value. Furthermore, server 30 does not disconnect from network 10, but rather a message is sent to the network security officer 10 so that he or she can examine the situation more closely.

Si un administrador de un servidor 30 de una red 10 supera la cuenta de puntuación que se le ha asignado, el servidor de gestión de derechos 60 puede imponerle una formación, tras la cual se le volverá a conceder el certificado de administrador ISDL. En particular, el valor de la puntuación puede determinarse en varias dimensiones, por ejemplo, respectivamente en relación con el software del servidor 30 que haya sido configurado por este, por ejemplo, con el software de coordinación de proyectos y con un sistema operativo del servidor 30. Si, al superar el primer umbral del valor de puntuación de la cuenta de puntuación asignada al administrador a través de la cuenta de administrador, se determina que el rebosamiento se debe en gran medida a una actualización defectuosa del sistema operativo del servidor 30, luego la formación puede prever automáticamente una mayor ponderación de los contenidos relacionados con el sistema operativo del servidor 30. Para ello, los valores de puntuación se registran convenientemente en las dimensiones, es decir, en las categorías, para las que se dispone de contenidos de formación modularizados. En el ejemplo de ejecución mostrado, los contenidos de formación están modularizados en 5 a 10 categorías, que se incluyen en una formación para administradores cuando las categorías tienen asignadas inscripciones al superarse el valor de puntuación. Las categorías a las que no se les ha asignado un valor de puntuación distinto de cero, o bien no se tienen en cuenta en absoluto al ponderar la formación, o bien se tienen en cuenta con un contenido estándar que difiere del contenido de la formación complementaria, que se incluye en la formación para el administrador cuando la categoría tiene asignado un valor de puntuación distinto de cero. En el ejemplo de ejecución mostrado, los módulos de la formación se combinan automáticamente mediante un software del servidor de gestión de derechos 60. If an administrator of a server 30 of a network 10 exceeds the score score assigned to him, the rights management server 60 may require training, after which he will be granted the ISDL administrator certificate again. In particular, the score value may be determined in several dimensions, for example, respectively in relation to the server 30 software that has been configured by him, for example, with the project coordination software and with an operating system of the server 30. If, upon exceeding the first threshold of the score value of the score score assigned to the administrator via the administrator account, it is determined that the overshoot is largely due to a faulty update of the operating system of the server 30, then the training may automatically provide for a greater weighting of content related to the operating system of the server 30. For this purpose, the score values are expediently recorded in the dimensions, i.e., in the categories, for which modularized training content is available. In the example implementation shown, the training content is modularized into 5 to 10 categories, which are included in an administrator training program when the categories are assigned enrollments by exceeding the score value. Categories that have not been assigned a score value other than zero are either not taken into account at all when weighting the training program or are considered with standard content that differs from the supplementary training content, which is included in the administrator training program when the category is assigned a score value other than zero. In the example implementation shown, the training modules are automatically combined by the rights management server software 60.

Claims (11)

REIVINDICACIONES 1. Procedimiento para operar una red (10) con al menos un punto final (50) que administra al menos un recurso de red (30), que comprende los pasos de1. Method for operating a network (10) with at least one endpoint (50) that manages at least one network resource (30), comprising the steps of - establecer un conjunto de reglas con al menos una regla para el al menos un punto final (50),- establish a rule set with at least one rule for at least one endpoint (50), - observar una conformidad del al menos un punto final (50) con el conjunto de reglas,- observe a conformity of at least one endpoint (50) with the set of rules, - asignar una puntuación en función de la conformidad y- assign a score based on compliance and - determinar al menos una medida en función de la puntuación,- determine at least one measure based on the score, - caracterizado porque el punto final (50) forma una interfaz de administrador y- characterized in that the endpoint (50) forms an administrator interface and - en el que el conjunto de reglas con la al menos una regla es un conjunto de reglas para administrar el al menos un recurso de red (30) a través del al menos un punto final (50) y- wherein the rule set with the at least one rule is a rule set for managing the at least one network resource (30) via the at least one endpoint (50) and - el al menos un recurso de red (30) está separado físicamente del al menos un punto final (50) que administra este recurso de red y- the at least one network resource (30) is physically separated from the at least one endpoint (50) that manages this network resource and - no solo el al menos un punto final (50) que administra el recurso de red (30) puede acceder a este recurso de red (30), sino que también pueden acceder uno o varios puntos finales adicionales de la red, y en el que - el al menos un recurso de red (30) se forma con un hardware, en particular un servidor, y/o con un software, en particular un sistema operativo y/o un programa de aplicación para aplicación por medio de la red (10), y - el conjunto de reglas establece la regularidad y/o oportunidad de una actualización del software y/o de un software en el hardware, y- not only the at least one endpoint (50) managing the network resource (30) can access this network resource (30), but also one or more further endpoints of the network can access it, and wherein - the at least one network resource (30) is formed with hardware, in particular a server, and/or with software, in particular an operating system and/or an application program for application via the network (10), and - the set of rules establishes the regularity and/or timeliness of an update of the software and/or of software on the hardware, and - la puntuación depende de un período durante el cual se omite al menos una actualización y/o depende de un número y/o de una criticidad en relación con la seguridad informática de las actualizaciones omitidas.- the score depends on a period during which at least one update is missed and/or depends on a number and/or criticality in relation to IT security of the missed updates. 2. Procedimiento según la reivindicación anterior, en el que la al menos una medida comprende una limitación de privilegios del punto final (50) en la red (10) en función de la puntuación.2. Method according to the preceding claim, wherein the at least one measure comprises a limitation of privileges of the endpoint (50) in the network (10) based on the score. 3. Procedimiento según la reivindicación 2, en el que la limitación de privilegios es una limitación de los privilegios para la administración del recurso de red (30).3. Method according to claim 2, wherein the limitation of privileges is a limitation of the privileges for the administration of the network resource (30). 4. Procedimiento según una de las reivindicaciones anteriores, en el que la al menos una medida comprende una interrupción del funcionamiento de la red (10).4. Method according to one of the preceding claims, wherein the at least one measure comprises an interruption of the operation of the network (10). 5. Procedimiento según una de las reivindicaciones anteriores, en el que el al menos un punto final (50) se forma respectivamente con al menos un recurso de red (30) y/o al menos un hardware de administrador, preferiblemente un ordenador cliente y/o un hardware de autenticación, y/o al menos una interfaz de hardware, preferiblemente una cuenta de usuario.5. Method according to one of the preceding claims, wherein the at least one endpoint (50) is formed respectively with at least one network resource (30) and/or at least one administrator hardware, preferably a client computer and/or an authentication hardware, and/or at least one hardware interface, preferably a user account. 6. Procedimiento según una de las reivindicaciones anteriores, en el que la medida comprende una modificación o limitación de privilegios administrativos.6. Method according to one of the preceding claims, wherein the measure comprises a modification or limitation of administrative privileges. 7. Procedimiento según una de las reivindicaciones anteriores, en el que la medida comprende una conexión o modificación de la conexión del punto final (50) a la red (10).7. Method according to one of the preceding claims, wherein the measure comprises a connection or modification of the connection of the end point (50) to the network (10). 8. Procedimiento según una de las reivindicaciones anteriores, en el que la medida incluye una formación para un administrador que se conecta al punto final (50).8. Method according to one of the preceding claims, wherein the measure includes training for an administrator connecting to the endpoint (50). 9. Procedimiento según una de las reivindicaciones anteriores, en el que la puntuación se asigna en al menos dos categorías y la formación, preferiblemente mediante módulos, se adapta en función de la puntuación en las categorías, preferiblemente en función de la ocupación de las categorías y/o del peso absoluto y/o relativo de las categorías y/o en el que un administrador es admitido en la red (10) solo después de una formación.9. Method according to one of the preceding claims, wherein the score is assigned in at least two categories and the training, preferably by means of modules, is adapted according to the score in the categories, preferably according to the occupancy of the categories and/or the absolute and/or relative weight of the categories and/or in which an administrator is admitted to the network (10) only after training. 10. Procedimiento según una de las reivindicaciones anteriores, en el que la puntuación se otorga, mantiene o modifica en función de una formación, preferiblemente repetida, y/o de una verificación, preferiblemente repetida.10. Method according to one of the preceding claims, wherein the score is awarded, maintained or modified based on a training, preferably repeated, and/or a verification, preferably repeated. 11. Producto de programa informático diseñado para ejecutar el procedimiento según una de las reivindicaciones anteriores, diseñado además para almacenar un conjunto de reglas con al menos una regla para el al menos un punto final (50), para recibir datos de observación sobre la conformidad del al menos un punto final (50) con el conjunto de reglas, así como para asignar una puntuación en función de la conformidad.11. A computer program product designed to execute the method according to one of the preceding claims, further designed to store a rule set with at least one rule for the at least one endpoint (50), to receive observation data on the compliance of the at least one endpoint (50) with the rule set, as well as to assign a score based on the compliance.
ES21786841T 2020-09-30 2021-09-30 Method for operating a network, and computer program product Active ES3021011T3 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020212405.1A DE102020212405A1 (en) 2020-09-30 2020-09-30 Network operating method and computer program product
PCT/EP2021/076985 WO2022069657A1 (en) 2020-09-30 2021-09-30 Method for operating a network, and computer program product

Publications (1)

Publication Number Publication Date
ES3021011T3 true ES3021011T3 (en) 2025-05-26

Family

ID=78080284

Family Applications (1)

Application Number Title Priority Date Filing Date
ES21786841T Active ES3021011T3 (en) 2020-09-30 2021-09-30 Method for operating a network, and computer program product

Country Status (6)

Country Link
US (1) US12489782B2 (en)
EP (1) EP4200734B1 (en)
CN (1) CN116391348B (en)
DE (1) DE102020212405A1 (en)
ES (1) ES3021011T3 (en)
WO (1) WO2022069657A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11394733B2 (en) * 2019-11-12 2022-07-19 Bank Of America Corporation System for generation and implementation of resiliency controls for securing technology resources
DE102020212405A1 (en) * 2020-09-30 2022-03-31 Siemens Aktiengesellschaft Network operating method and computer program product

Family Cites Families (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7647634B2 (en) * 2005-06-30 2010-01-12 Microsoft Corporation Managing access to a network
WO2007030223A2 (en) * 2005-07-28 2007-03-15 Mformation Technologies, Inc. System and method for remotely controlling device functionality
US7917481B1 (en) * 2005-10-31 2011-03-29 Symantec Operating Corporation File-system-independent malicious content detection
US20070124803A1 (en) 2005-11-29 2007-05-31 Nortel Networks Limited Method and apparatus for rating a compliance level of a computer connecting to a network
US20070143827A1 (en) * 2005-12-21 2007-06-21 Fiberlink Methods and systems for intelligently controlling access to computing resources
EP1917757A2 (en) * 2005-12-21 2008-05-07 Fiberlink Communications Corporation Methods and systems for intelligently controlling access to computing resources
US20070143851A1 (en) * 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US8312536B2 (en) * 2006-12-29 2012-11-13 Symantec Corporation Hygiene-based computer security
US8499331B1 (en) 2007-06-27 2013-07-30 Emc Corporation Policy based network compliance
US7809667B1 (en) 2007-06-27 2010-10-05 Emc Corporation Rule-based network resource compliance
US8621610B2 (en) * 2007-08-06 2013-12-31 The Regents Of The University Of Michigan Network service for the detection, analysis and quarantine of malicious and unwanted files
US10318730B2 (en) * 2007-12-20 2019-06-11 Bank Of America Corporation Detection and prevention of malicious code execution using risk scoring
US8359632B2 (en) * 2008-05-30 2013-01-22 Microsoft Corporation Centralized account reputation
US8595282B2 (en) * 2008-06-30 2013-11-26 Symantec Corporation Simplified communication of a reputation score for an entity
US8935789B2 (en) * 2008-07-21 2015-01-13 Jayant Shukla Fixing computer files infected by virus and other malware
US8561182B2 (en) * 2009-01-29 2013-10-15 Microsoft Corporation Health-based access to network resources
US20140046645A1 (en) 2009-05-04 2014-02-13 Camber Defense Security And Systems Solutions, Inc. Systems and methods for network monitoring and analysis of a simulated network
US8566932B1 (en) * 2009-07-31 2013-10-22 Symantec Corporation Enforcing good network hygiene using reputation-based automatic remediation
US8874685B1 (en) 2009-09-22 2014-10-28 Threatguard, Inc. Compliance protocol and architecture
US9807116B2 (en) * 2013-05-03 2017-10-31 Vmware, Inc. Methods and apparatus to identify priorities of compliance assessment results of a virtual computing environment
US9503477B2 (en) * 2014-03-27 2016-11-22 Fortinet, Inc. Network policy assignment based on user reputation score
US9967264B2 (en) * 2014-09-14 2018-05-08 Sophos Limited Threat detection using a time-based cache of reputation information on an enterprise endpoint
US10122687B2 (en) * 2014-09-14 2018-11-06 Sophos Limited Firewall techniques for colored objects on endpoints
US9787709B2 (en) 2015-06-17 2017-10-10 Bank Of America Corporation Detecting and analyzing operational risk in a network environment
US10187410B2 (en) * 2015-06-30 2019-01-22 Microsoft Technology Licensing, Llc Automatically preventing and remediating network abuse
US9721296B1 (en) * 2016-03-24 2017-08-01 Www.Trustscience.Com Inc. Learning an entity's trust model and risk tolerance to calculate a risk score
US10084809B1 (en) 2016-05-06 2018-09-25 Wells Fargo Bank, N.A. Enterprise security measures
US20170339160A1 (en) * 2016-05-17 2017-11-23 International Business Machines Corporation Threat-aware provisioning and governance
WO2017210738A1 (en) * 2016-06-07 2017-12-14 Hosking Graeme Cyber security system and method
US10574539B2 (en) 2016-08-25 2020-02-25 Hartford Fire Insurance Company System compliance assessment utilizing service tiers
CA3054319A1 (en) 2017-02-27 2018-08-30 Ivanti, Inc. Systems and methods for context-based mitigation of computer security risks
US10339321B2 (en) 2017-05-02 2019-07-02 Dignity Health Cybersecurity maturity forecasting tool/dashboard
US11533296B2 (en) * 2017-09-01 2022-12-20 Kyndryl, Inc. Testing and remediating compliance controls
US11216746B2 (en) * 2017-11-28 2022-01-04 Facebook, Inc. Utilizing machine learning and composite utility scores from multiple event categories to improve digital content distribution
US10805289B2 (en) 2018-05-03 2020-10-13 SoftWarfare, LLC Biometric cybersecurity and workflow management
US11044273B2 (en) * 2018-06-27 2021-06-22 Cisco Technology, Inc. Assurance of security rules in a network
US11122071B2 (en) * 2018-06-29 2021-09-14 Forescout Technologies, Inc. Visibility and scanning of a variety of entities
US10917439B2 (en) 2018-07-16 2021-02-09 Securityadvisor Technologies, Inc. Contextual security behavior management and change execution
US10848563B2 (en) * 2018-09-17 2020-11-24 Vmware, Inc. On-device, application-specific compliance enforcement
US11374977B2 (en) * 2018-09-20 2022-06-28 Forcepoint Llc Endpoint risk-based network protection
US10979918B2 (en) * 2018-11-20 2021-04-13 Cisco Technology, Inc. Identification and remediation of mesh instability source in a mesh network
US11206287B2 (en) * 2019-01-29 2021-12-21 Battelle Memorial Institute Evaluating cyber-risk in synchrophasor systems
US20200322330A1 (en) * 2019-04-08 2020-10-08 Cisco Technology, Inc. Continuous multi-factor authentication system
US20200322321A1 (en) * 2019-04-08 2020-10-08 Cisco Technology, Inc. Continuous trust score
US11388011B2 (en) * 2019-04-08 2022-07-12 Cisco Technology, Inc. Accountable identities on the internet
US11496366B2 (en) * 2019-06-04 2022-11-08 Applied Gratitude Inc. Compliance detection of gratitude-based message
US11418543B2 (en) * 2019-06-05 2022-08-16 Vmware, Inc. Automated identification of security issues
US11651599B2 (en) * 2020-08-17 2023-05-16 Verizon Patent And Licensing Inc. Systems and methods for identifying distracted driver behavior from video
DE102020212405A1 (en) * 2020-09-30 2022-03-31 Siemens Aktiengesellschaft Network operating method and computer program product
US12149538B2 (en) * 2020-12-31 2024-11-19 ITsMine Ltd. Techniques for deployment of deceptive decoy elements in computing environments
US12386970B2 (en) * 2021-12-08 2025-08-12 International Business Machines Corporation Combining policy compliance and vulnerability management for risk assessment
US12477331B2 (en) * 2023-05-17 2025-11-18 Cisco Technology, Inc. Continuous multi-factor authentication using wireless sensing data

Also Published As

Publication number Publication date
US12489782B2 (en) 2025-12-02
WO2022069657A1 (en) 2022-04-07
US20250088528A1 (en) 2025-03-13
DE102020212405A1 (en) 2022-03-31
EP4200734A1 (en) 2023-06-28
CN116391348A (en) 2023-07-04
CN116391348B (en) 2025-12-02
EP4200734C0 (en) 2025-01-01
EP4200734B1 (en) 2025-01-01

Similar Documents

Publication Publication Date Title
US7085925B2 (en) Trust ratings in group credentials
US7617522B2 (en) Authentication and authorization across autonomous network systems
CN101986599B (en) Network security control method based on cloud service and cloud security gateway
CN110957025A (en) Medical health information safety management system
US20070136814A1 (en) Critical function monitoring and compliance auditing system
US20090106823A1 (en) System and method for remote access data security and integrity
CN102904889B (en) Support the forced symmetric centralization system and method for cross-platform unified management
DE112017003705T5 (en) Techniques for verifying and authenticating resources in a data center computing environment
ES3021011T3 (en) Method for operating a network, and computer program product
CN102341809A (en) Distributed filesystem access
CN106487770B (en) Authentication method and authentication device
US7810145B2 (en) Distributed data consolidation network
CN103107899A (en) Separation-of-three-powers hierarchical authorization management system and method thereof
CN108809930A (en) Method for managing user right and device
US20050102291A1 (en) Apparatus and method providing distributed access point authentication and access control with validation feedback
CN101594386A (en) Method and device for constructing trusted virtual organization based on distributed policy verification
CN103916267A (en) Network space identity management system of three-layer structure
Cilliersa et al. Electronic health records in the cloud: improving rimary ealth are elivery in South Africa PHCD
US7080403B2 (en) Method and system for person data authentication and management
CN115378635A (en) Inter-system cross-domain access control method and platform based on roles
CN113672959B (en) Traceable paperless office trace reservation method based on blockchain
Barati et al. A privacy-preserving platform for recording COVID-19 vaccine passports
Thomas et al. Reliable and Privacy Preserving Blockchain Based Medical Data Sharing Digital Ledger
CN106603535A (en) SaaS platform-based security system architecture
Berbar et al. Identification in the service of national solidarity